Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

ASA 8.x: Nota Técnica do Troubleshooting do cliente VPN de AnyConnect

20 Setembro 2014 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (15 Setembro 2014) | Feedback


Índice


Introdução

Este cenário de troubleshooting destina-se a aplicações que não funcionam através do Cisco AnyConnect VPN Client.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento baseiam-se no ASA Security Appliance com software versão 8.x.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Processo de Troubleshooting

Este cenário de troubleshooting típico destina-se a aplicações que não funcionam através do Cisco AnyConnect VPN Client para usuários finais com computadores baseados no Microsoft Windows. Estas seções abordam e fornecem soluções para os problemas:

Problemas de Instalação e do Adaptador Virtual

Conclua estes passos:

  1. Obtenha o arquivo do log do dispositivo:

    • Windows XP/Windows 2000:

      \Windows\setupapi.log
      
    • Windows Vista:

      Nota: É necessário tornar as pastas ocultas visíveis para que seja possível ver estes arquivos.

      \Windows\Inf\setupapi.app.log 
          \Windows\Inf\setupapi.dev.log
      

    Se você identificar erros no arquivo de log do setupapi, você poderá aumentar o nível de verbosidade para 0x2000FFFF conforme descrito neste artigo do Windows KB.leavingcisco.com Observe que o artigo indica ajustá-lo para 0xFFFF, mas se você adicionar o valor de ordem elevada de 0x2, o processo de log será mais rápido.

  2. Obtenha o arquivo de log do instalador MSI:

    Se esta for uma instalação de implantação via Web inicial, este log estará localizado no diretório temporário de cada usuário.

    • Windows XP/Windows 2000:

      \Documents and Settings\<username>\Local Settings\Temp\
      
    • Windows Vista:

      \Users\<username>\AppData\Local\Temp\
      

    Se este for um upgrade automático, este log estará no diretório temporário do sistema:

    \Windows\Temp
    

    O nome de arquivo está no formato: anyconnect-win-x.x.xxxx-k9-install-yyyyyyyyyyyyyy.log. Obtenha o arquivo mais recente para a versão do cliente que você deseja instalar. As mudanças x.xxxx baseadas na versão, tal como 2.0.0343, e yyyyyyyyyyyyyyis a data e hora da instalação.

  3. Obtenha o arquivo de informação de sistema do PC:

    1. Desde um Prompt de Comandos/DOS, digite:

      • Windows XP/Windows 2000:

        winmsd /nfo c:\msinfo.nfo
        
      • Windows Vista:

        msinfo32 /nfo c:\msinfo.nfo
        

      Nota: Após digitar este prompt, aguarde. A conclusão do arquivo poderá levar entre dois e cinco minutos.

    2. Obtenha um dump do arquivo systeminfo de um prompt de comando:

      Windows XP e Windows Vista:

      systeminfo c:\sysinfo.txt
      

Consulte AnyConnect: Problema de Banco de Dados de Drivers Corrompido para depurar o problema.

Desconexão ou Incapacidade de Estabelecer a Conexão Inicial

Se você experimenta problemas de conexão com o cliente de AnyConnect, tal como desconexões ou a incapacidade estabelecer uma conexão inicial, obtenha estes arquivos:

  • O arquivo de configuração do ASA para determinar se alguma coisa na configuração está causando a falha de conexão:

    No console do ASA, digite write net x.x.x.x: ASA-Config.txt onde x.x.x.x é endereço do theIP de um servidor TFTP na rede.

    OU

    No console do ASA, digite show running-config. Deixe a configuração completa na tela, a seguir cortare-a -col a um editor de texto e a uma salvaguarda.

  • Os logs de eventos do ASA:

    1. A fim de permitir o log do ASA para eventos de auth, webvpn, SSL e svc execute estes comandos da CLI:

      config terminal 
      logging enable 
      logging timestamp 
      logging class auth console debugging 
      logging class webvpn console debugging 
      logging class ssl console debugging
      logging class svc console debugging
    2. Inicie uma sessão do Anyconnect e certifique-se de que a falha possa ser reproduzida. Capture as saídas de registro do console a um editor de texto e salvar.

    3. Para desabilitar o log, execute o comando no logging enable.

  • O log do Cisco AnyConnect VPN Client do Windows Event Viewer PC cliente:

    1. Escolha Start > Run.

    2. Entre:

      eventvwr.msc /s
    3. Clicar com o botão direito o log do Cisco AnyConnect VPN Client, e selecione o arquivo de registro da salvaguarda como AnyConnect.evt.

      Nota: Salve-o sempre como formato de arquivo .evt.

Se o usuário não pode conectar com o cliente VPN de AnyConnect, a edição pôde ser relacionada a uma sessão estabelecida RDP ou a um interruptor rápido do usuário permitida no PC cliente. O usuário pode ver as configurações de perfil do AnyConnect determinarem um único usuário local, mas vários usuários locais estão conectados no momento no computador. Uma mensagem de erro VPN connection will not be established no PC cliente. A fim resolver esta edição, desligue todas as sessões estabelecidas RDP e desabilite o interruptor rápido do usuário.

Nota: Certifique-se de que a porta 443 não está obstruída assim que o cliente de AnyConnect pode conectar ao ASA.

Quando um usuário não pode conectar o cliente VPN de AnyConnect ao ASA, a edição pôde ser causada por uma incompatibilidade entre a versão de cliente de AnyConnect e a versão de imagem de software ASA. Neste caso, o usuário recebe esta mensagem de erro: O instalador não podia começar o Cisco VPN Client, sem clientes que o acesso não está disponível.

A fim resolver esta edição, promova a versão de cliente de AnyConnect para ser compatível com a imagem do software ASA. Para verificar a compatibilidade, consulte a seção Security Appliances e Software Suportado das notas de versão do Anyconnect Client.

Quando um usuário não pode conectar ao cliente VPN de AnyConnect do PC, a edição pode ser causada pelo antivírus atual no PC.

Nota: AnyConnect deve ser instalado no computador antes que você instale todo o Firewall da terceira parte/software anti-vírus. Se AnyConnect é instalado após alguns Firewall da terceira/software anti-vírus, a seguir o AnyConnect não conectará. A fim resolver esta edição, desabilite todas as características do firewall/AV pessoal. Então, faça uma pequena alteração no adaptador virtual de AnyConnect e tente-a reconectar o AnyConnect. Para mais informação, refira o Bug da Cisco ID CSCsj91840 (clientes registrados somente) e CSCti16453 (clientes registrados somente).

Quando você entra a primeira vez ao AnyConnect, o script do início de uma sessão não é executado. Se você desliga e entra outra vez, a seguir o script do início de uma sessão é executado muito bem. Este é o comportamento esperado.

Quando você conecta o cliente VPN de AnyConnect ao ASA, você pôde receber este erro: O usuário não autorizado para o acesso do cliente de AnyConnect, contacta seu administrador.

Este erro é considerado quando a imagem de AnyConnect falta do ASA. Uma vez que a imagem é carregada ao ASA, AnyConnect pode conectar sem nenhumas edições ao ASA.

Este erro pode ser resolvido pela Segurança de desabilitação da camada de transporte de datagram (DTL). Vá à configuração > ao acesso do acesso remoto VPN > da rede (cliente) > aos perfis de conexão de AnyConnect e desmarcar a caixa de verificação da possibilidade DTL. Isto desabilita DTL.

Os arquivos do dartbundle mostram este Mensagem de Erro quando o usuário obtém desligado: TUNNELPROTOCOLDPDMGR_ERROR_NO_DPD_RESPONSE: O gateway seguro não respondeu aos pacotes do Dead Peer Detection. Este erro significa que o canal DTL era rasgado devido à falha do dpd. Este erro é resolvido tweaking o Keepalives do dpd e emitindo estes comandos:

webvpn
   svc keepalive 30
   svc dpd-interval client 80
   svc dpd-interval gateway 80

O keepalive svc e os comandos do DPD-intervalo svc são substituídos pelo keepalive do anyconnect e pelos comandos do DPD-intervalo do anyconnect respectivamente na versão ASA 8.4(1) e pelo mais atrasado como mostrado aqui:

webvpn
anyconnect ssl keepalive 15
anyconnect dpd-interval client 5
anyconnect dpd-interval gateway 5

Problemas com a Passagem de Tráfego

Quando problemas com a passagem de tráfego para a rede privada são detectados com uma sessão do Anyconnect através do ASA, conclua estes passos de coleta de dados:

  1. Obtenha a saída do comando do <username> ASA do nome do filtro svc do detalhe da mostra VPN-sessiondb do console. Se a saída mostra o nome do filtro: XXXXX, obtenha a saída de show access-list XXXXX. Verifique se a lista de acesso XXXXXX não bloqueia o fluxo de tráfego pretendido.

  2. Exporte as estatísticas de AnyConnect do cliente VPN > das estatísticas > dos detalhes > da exportação de AnyConnect (AnyConnect-ExportedStats.txt).

  3. Verifique o arquivo de configuração do ASA em busca de instruções nat. Se o NAT estiver habilitado, elas devem ser dados de exceção que retornam para o cliente como resultado do NAT. Por exemplo, ao NAT isento (0 nat) os endereços IP de Um ou Mais Servidores Cisco ICM NT do pool de AnyConnect, usam este no CLI:

    access-list in_nat0_out extended permit ip any 10.136.246.0 255.255.255.0
    ip local pool IPPool1 10.136.246.1-10.136.246.254 mask 255.252.0.0
    nat (inside) 0 access-list in_nat0_out
  4. Determine se o gateway padrão tunelado precisa ser habilitado para a instalação. O gateway padrão tradicional é o Gateway of Last Resort para o tráfego não desencriptado.

    Exemplo

    
    !--- Route outside 0 0 is an incorrect statement.
    
    route outside 0 0 10.145.50.1
    route inside 0 0 10.0.4.2 tunneled
    

    Por exemplo, se o cliente VPN precisa de alcançar um recurso que não esteja na tabela de roteamento do gateway de VPN, o pacote é distribuído através do gateway padrão padrão. O gateway de VPN não precisa da tabela de roteamento interno completa para resolver isso. A palavra-chave em túnel pode ser usada nesta instância.

  5. Verifique se o tráfego de AnyConnect está sendo deixado cair pela política da inspeção do ASA. Você poderia isentar o aplicativo específico que é usado pelo cliente de AnyConnct executando a estrutura de política modular de Cisco ASA. Por exemplo, você poderia isentar o protocolo mirrado da isenção usando os comandos seguintes.

    ASA(config)# policy-map global_policy
    ASA(config-pmap)#  class inspection_default
    ASA(config-pmap-c)# no inspect skinny

Problemas de Quedas do AnyConnect

Conclua estas etapas de coleta de dados:

  1. Certifique-se de que o utilitário Microsoft Dr. Watson esteja habilitado. Para fazer isso, escolha Start > Run e execute Drwtsn32.exe. Configure-o e clique em OK:

    Number of Instructions      : 25
    Number of Errors To Save    : 25
    Crash Dump Type             :  Mini 
    Dump Symbol Table           : Checked
    Dump All Thread Contexts    : Checked
    Append To Existing Log File : Checked
    Visual Notification         : Checked
    Create Crash Dump File      : Checked

    Quando a queda/falha ocorre, obtenha os arquivos .log .dmp de C:\Documents and Settings\AllUsers\Application Data\Microsoft\Dr Watson. Se estes arquivos parecem estar em uso, use o ntbackup.exe.

  2. Obtenha o log do AnyConnect VPN Client do Windows Event Viewer do PC cliente:

    1. Escolha Start > Run.

    2. Entre:

      eventvwr.msc /s
    3. Clique com o botão direito no log do Cisco AnyConnect VPN Client e selecione Save Log File As AnyConnect.evt.

      Nota: Salve-o sempre como formato de arquivo .evt.

Problemas de Fragmentação/Passagem de Tráfego

Alguns aplicativos, tais como o Microsoft outlook, não trabalham. Contudo, o túnel pode passar o outro tráfego tal como sibilos pequenos.

Isso pode fornecer indícios de um problema de fragmentação na rede. O Roteadores do consumidor é particularmente deficiente na fragmentação de pacote de informação e na remontagem.

Tente um conjunto de pings com aumento progressivo para ver se há falha em um determinado tamanho. Por exemplo, ping – l 500, ping – l 1000, ping – l 1500, ping – l 2000.

Recomendamos configurar um grupo especial para os usuários que experimentarem fragmentação, e ajustar o svc mtu desse grupo para 1200. Isto permite-o aos usuários do remediate que experimentam esta edição, mas para não impactar a base do usuário mais larga.

Problema:

Cair das conexões de TCP conectado uma vez com o AnyConnect.

Solução:

A fim verificar se seu usuário tem uma questão de fragmentação, ajuste o MTU para clientes de AnyConnect no ASA.

 ASA(config)#group-policy <name> attributes
                          webvpn
                              svc mtu 1200

Desinstalar Automaticamente

Problema:

O cliente VPN de AnyConnect desinstala-se uma vez que a conexão termina.

Os logs do cliente mostram que keep installed está desabilitado.

Solução:

AnyConnect desinstala-se apesar daquele que a opção instalada mantimento é selecionada no Security Device Manager adaptável (ASDM). Para resolver este problema, configure o comando svc keep-installer installed na diretiva de grupo.

Problemas de Latência do AnyConnect

Problema:

Problemas de latência são observados com o AnyConnect VPN Client.

Solução:

A Segurança da camada de transporte de datagram (DTL) evita a latência e os problemas de largura de banda associados com algumas conexões SSL-somente, incluindo conexões de AnyConnect, e melhora o desempenho dos aplicativos em tempo real que são sensíveis aos retardos do pacote. Os DTL permitem o cliente de AnyConnect que estabelece uma conexão de VPN SSL para usar dois túneis simultâneos, um túnel SSL e os DTL escavam um túnel.

Se você utilizar DTLS, evitará os problemas de largura de banda e latência associados a algumas conexões SSL e melhorará o desempenho dos aplicativos em tempo real que são sensíveis aos atrasos de pacote. O DTLS é um protocolo SSL com base em padrões que fornece um caminho de dados de latência baixa via UDP. O DTLS pode ser habilitado com o comando svc dtls enable, conforme mostrado:

hostname(config)#group-policy sales attributes

hostname(config-group-policy)#webvpn

hostname(config-group-webvpn)#svc dtls enable

Também, se você desabilitam a compressão e DF-bit-a ignoram, a latência e os problemas de largura de banda é reduzida. DF-bit-ignore pode ser permitido e a compressão pode ser desabilitada como mostrado aqui:

hostname(config)#group-policy <name> attributes
hostname(config-group-policy)#webvpn
hostname(config-group-webvpn)#svc df-bit-ignore enable
hostname(config-group-webvpn)#svc routing-filtering-ignore enable
hostname(config-group-webvpn)#svc mtu 1200
hostname(config-group-webvpn)#svc compression none

Também, os ACL exteriores de alteração no ASA para permitir a porta 443 UDP resolverão a edição da latência.

Problema:

Anyconnect está tomando muito um muito tempo conectar.

Solução:

A configuração de proxy no navegador é um problema conhecido que cause problemas da lentidão. Uma das ações alternativas é ajustar o cliente para ignorá-lo. Permita do “o proxy desvio” no perfil de Anyconnect de modo que o problema pudesse ser eliminado.

Adicionar a seguinte linha ao perfil de AnyConnect.

<ProxySettings>IgnoreProxy</ProxySettings>

Emita o povoamento do FQDN do conjunto

Problema: O cliente de AnyConnect PRE-é povoado com o hostname em vez do FQDN do conjunto.

Quando você tem um conjunto do Balanceamento de carga estabelecido para SSL VPN e o cliente tenta conectar para se aglomerar, o pedido está reorientado ao nó ASA e o cliente entra com sucesso. Após alguma hora, quando o cliente tenta outra vez conectar ao conjunto, o FQDN do conjunto não é visto no “conecta” às entradas. Em lugar de, a entrada do nó ASA a que o cliente foi reorientado é considerada.

Solução

Isto ocorre porque o cliente de AnyConnect está retendo o nome de host a que conectou por último. Este comportamento é observado e um erro foi arquivado. Para detalhes completos sobre o erro, refira a identificação de bug Cisco CSCsz39019 (clientes registrados somente). Promover Cisco AnyConnect a 2.5 é a ação alternativa sugerida.

Configuração de lista do servidor de backup

Uma lista do servidor de backup é configurada caso que o servidor principal selecionado pelo usuário não é alcançável. Isto é definido na placa do “servidor de backup” no perfil de AnyConnect. Conclua estes passos:

  1. Transfira o editor do perfil de AnyConnect (clientes registrados somente). O nome de arquivo é AnyConnectProfileEditor2_4_1.jar.

  2. Crie um arquivo XML usando o editor do perfil de AnyConnect.

    1. Vá à aba da lista de servidor.

    2. Clique em Add.

    3. Datilografe o servidor principal no campo do hostname.

    4. Adicionar o servidor de backup abaixo da lista do servidor de backup no campo do endereço de host. Então, o clique adiciona.

  3. Uma vez que você tem o arquivo XML, você precisa de atribui-lo à conexão que você se está usando no ASA.

    1. No ASDM, escolha a configuração > o acesso do acesso remoto VPN > da rede (cliente) > os perfis de conexão de AnyConnect.

    2. Selecione seu perfil e o clique edita.

    3. O clique controla da seção de política do grupo padrão.

    4. Selecione sua grupo-política e o clique edita.

    5. Selecione avançado e clique então o cliente VPN SSL.

    6. Clique em New. Então, você precisa de datilografar um nome para o perfil e de atribuir o arquivo XML.

  4. Conecte o cliente à sessão a fim transferir o arquivo XML.

AnyConnect: Problema de Banco de Dados de Drivers Corrompido

Esta entrada no arquivo SetupAPI.log sugere que o sistema de catálogo está corrompido:

W239 driver signing class list " C:\WINDOWS\INF\certclas.inf" was missing or invalid. Error 0xfffffde5: O erro desconhecido., supondo todas as classes de dispositivo é sujeito à política de assinatura do direcionador.

Você pode igualmente receber este Mensagem de Erro: Error(3/17): Incapaz de começar o VA, a instalação compartilhou da fila, ou o VA deu a fila acima compartilhada.

E este log no cliente: “O direcionador do cliente VPN encontrou um erro”

Reparo

Este problema ocorre devido ao bug da Cisco ID CSCsm54689 ( somente clientes registrados) . Para resolver este problema, certifique-se de que o roteamento e o Remote Access Service estejam desabilitados antes de iniciar o AnyConnect. Se isso não resolver o problema, conclua estes passos:

  1. Abra um prompt de comando como um administrador no PC (prompt elevado no Vista).

  2. Execute net stop CryptSvc.

  3. Seja executado:

    esentutl /p%systemroot%\System32\catroot2\
    {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
  4. Quando avisado, escolha OK para tentar a reparação.

  5. Saia do prompt de comando.

  6. Reinicialização.

Se o reparo falhar

Se o reparo falhar, conclua estes passos:

  1. Abra um prompt de comando como um administrador no PC (prompt elevado no Vista).

  2. Execute net stop CryptSvc.

  3. Renomeie o diretório %WINDIR%\system32\catroot2 to catroot2_old.

  4. Saia do prompt de comando.

  5. Reinicialização.

Analise o Banco de Dados

Você pode analisar o banco de dados a qualquer momento para determinar se ele é válido.

  1. Abra um prompt de comando como um administrador no PC.

  2. Seja executado:

    esentutl /g%systemroot%\System32\catroot2\
    {F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

    Consulte Integridade do Banco de Dados de Catálogo do Sistema para obter mais informações.

    Nota: Refira o asapedialeavingcisco.com para mais informação.

Mensagens de erro

Erro: Unable to Update the Session Management Database

Enquanto a VPN SSL está conectada via navegador da Web, a mensagem de erro Unable to Update the Session Management Database. é exibida e o log do ASA mostra %ASA-3-211001: Memory allocation Error. A ferramenta de segurança adaptável não atribuiu a memória de sistema de RAM.

Solução 1

Este problema ocorre devido ao bug da Cisco ID CSCsm51093 ( somente clientes registrados) . Para resolver este problema, reinicie o ASA ou faça o upgrade do software do ASA para a versão temporária mencionada no bug. Consulte o bug da Cisco ID CSCsm51093 ( somente clientes registrados) para obter mais informações.

solução 2

Esta edição pode igualmente ser resolvida pela ameaça-detecção de desabilitação no ASA se a ameaça-detecção está sendo usada.

Erro: Do “o cliente VPN de c:\Program Files\Cisco\Cisco AnyConnect módulo \ vpnapi.dll não se registrou”

Ao usar o cliente de AnyConnect em portáteis ou em PC, um erro ocorre durante a instalação:

Do “o cliente VPN de C:\Program Files\Cisco\Cisco AnyConnect módulo \ vpnapi.dll não se registrou…”

Quando este erro é encontrado, o instalador não pode mover-se para a frente e o cliente é removido.

Solução

Estas são as alternativas possíveis para resolver este erro:

  • O cliente o mais atrasado de AnyConnect é apoiado já não oficialmente com Windows 2000. É um problema do registro com o computador 2000. Refira a seção das exigências de Windows dos Release Note de AnyConnect.

  • Remova os aplicativos do vmware. Uma vez que AnyConnect é instalado, os aplicativos do vmware podem ser adicionados de volta ao PC.

  • Adicionar o ASA a suas sites confiável. Para mais informação, refira a ferramenta de segurança adicionando para alistar da seção das sites confiável dos Release Note de AnyConnect.

  • Copie estes arquivos do \ dobrador de ProgramFiles \ Cisco \ CiscoAnyconnect a um dobrador novo e execute o comando prompt regsvr32 vpnapi.dll:

    • vpnapi.dll

    • vpncommon.dll

    • vpncommoncrypt.dll

  • Criar nova imagem o sistema operacional no laptop/PC.

O mensagem de registro relativo a este erro no cliente de AnyConnect olha similar a este:

DEBUG: Error 2911:  Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, , 
DEBUG: Error 2911:  Could not remove the folder C:\Program Files\Cisco\Cisco AnyConnect
VPN Client\.
The installer has encountered an unexpected error installing this package. This may
indicate a problem with this package. The error code is 2911. The arguments are:
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\, , 
Info 1721. There is a problem with this Windows Installer package. A program required for
this install to complete could not be run. Contact your support personnel or package
vendor. Action: InstallHelper.exe, location: C:\Program Files\Cisco\Cisco AnyConnect VPN
Client\InstallHelper.exe, command: -acl "C:\Documents and Settings\All Users\Application
Data\Cisco\Cisco AnyConnect VPN Client\\" -r

Erro: “Um erro foi recebido do gateway seguro em resposta ao pedido da negociação VPN. Contacte por favor seu administrador de rede”

Quando os clientes tentam conectar ao VPN usando o Cisco AnyConnect VPN Client, este erro está recebido:

Esta mensagem foi recebida do gateway seguro:

Do “a classe endereço ilegal” ou o “host ou a rede são outros 0" ou “erros

Solução

A edição ocorre devido à prostração do conjunto IP local ASA. Enquanto o recurso do pool VPN é esgotado, a escala do IP pool precisa de ser ampliada.

Um erro é arquivado para esta edição. A identificação de bug Cisco é CSCsl82188 (clientes registrados somente). Este erro ocorre geralmente quando o conjunto local para a atribuição de endereço está esgotado, ou se a máscara de sub-rede de bit 32 está usada para o conjunto de endereços. A ação alternativa é expandir o conjunto de endereços e usar 24 máscaras de sub-rede de bit para o pool.

Erro: A sessão não podia ser estabelecida. Limite de sessão de 2 alcançado.

Quando eu tento conectar mais de dois clientes que usam o cliente VPN de AnyConnect, eu recebo o Mensagem de Erro falhado início de uma sessão no cliente e um mensagem de advertência nos logs ASA que a sessão dos estados não poderia ser estabelecida. Limite de sessão de 2 alcançado. Eu tenho a licença essencial de AnyConnect no ASA, que executa a versão 8.0.4.

Solução 1

Este erro ocorre porque a licença essencial de AnyConnect não é apoiada pela versão ASA 8.0.4. Você precisa de promover o ASA à versão 8.2.2. Isto resolve o erro.

Nota: Apesar da licença usada, se o limite de sessão é alcançado o usuário receberá o Mensagem de Erro falhado início de uma sessão.

Solução 2

Este erro pode igualmente ocorrer se o comando session-limit do MAX-anyconnect-superior-ou-fundamentos-limite VPN-sessiondb é usado ajustar o limite de sessões de VPN permitidas para ser estabelecido. Se o sessão-limite é ajustado como 2, a seguir o usuário não pode estabelecer mais de duas sessões mesmo que a licença instalada apoie mais sessões. Ajuste o sessão-limite ao número de sessões de VPN exigidas evitar este Mensagem de Erro.

Erro: Anyconnect não permitido no servidor de VPN ao tentar conectar o anyconnect ao ASA

Eu recebo o Anyconnect não permitido no Mensagem de Erro do servidor de VPN ao tentar conectar AnyConnect ao ASA.

Solução

Este erro é resolvido permitindo AnyConnect na interface externa do ASA usando o ASDM. Para obter mais informações sobre de como permitir AnyConnect na interface externa, refira a possibilidade do protocolo do cliente VPN SSL.

Erro: -- %ASA-6-722036: Group client-group User xxxx IP x.x.x.x que transmitem o pacotes maiores 1220 (ponto inicial 1206)

O %ASA-6-722036: O usuário < xxxx > < do grupo de cliente > do grupo IP < x.x.x.x> que transmite o grande Mensagem de Erro do pacote 1220 (ponto inicial 1206) aparece nos logs do ASA. Que fazem este log - meio e como isto são resolvidos?

Solução

Este mensagem de registro indica que um pacote grande foi enviado ao cliente. A fonte do pacote não está ciente do cliente MTU. Isto pode igualmente ser devido à compressão de dados não-compressíveis. A ação alternativa é desligar a compressão SVC com o comando none da compressão svc. Isto resolve a edição.

Erro: O gateway seguro rejeitou o vpn do agente conecta ou reconecta o pedido.

Ao conectar ao cliente de AnyConnect, este erro é recebido: “O gateway seguro rejeitou o vpn do agente conecta ou reconecta o pedido. Uma nova conexão exige a reautenticação e deve ser começada manualmente. Contacte por favor seu administrador de rede se este problema persiste. O seguinte mensagem foi recebido do gateway seguro: nenhum endereço atribuído”.

Este erro é recebido igualmente ao conectar ao cliente de AnyConnect: “O gateway seguro rejeitou a tentativa de conexão. Uma tentativa da nova conexão ao mesmos ou outro fixa o gateway é precisada, que exige a reautenticação. O seguinte mensagem foi recebido do gateway seguro: O host ou a rede são 0".

Este erro é recebido igualmente ao conectar ao cliente de AnyConnect: “O gateway seguro rejeitou o vpn do agente conecta ou reconecta o pedido. Uma nova conexão exige uma reautenticação e deve ser começada manualmente. Contacte por favor o administrador de rede se o problema persiste. O seguinte mensagem foi recebido do gateway seguro: Nenhuma licença”.

Solução

O roteador faltava a configuração de pool após o reload. Você precisa de adicionar a configuração interessada de volta ao roteador.

Router#show run | in pool

ip local pool SSLPOOL 192.168.30.2 192.168.30.254
   svc address-pool SSLPOO

“O gateway seguro rejeitou o vpn do agente conecta ou reconecta o pedido. Uma nova conexão exige uma reautenticação e deve ser começada manualmente. Contacte por favor o administrador de rede se o problema persiste. O seguinte mensagem foi recebido do gateway seguro: Erro de nenhuma licença o” ocorre quando a licença da mobilidade de AnyConnect falta. Uma vez que a licença é instalada a edição obtém resolved.

Erro: “Incapaz de atualizar o banco de dados do gerenciamento de sessão”

Ao tentar autenticar em WebPortal, este Mensagem de Erro é recebido: “Incapaz de atualizar o banco de dados do gerenciamento de sessão”.

Solução

Este problema é relacionado à alocação de memória no ASA. Esta edição é considerada na maior parte quando a versão ASA é 8.2.1. Originalmente, isto exige um 512MB RAM para sua funcionalidade completa. Refira a seção dos requisitos de memória nos Release Note.

Como uma ação alternativa permanente, promova a memória a 512MB. Você pode pedir de “os jogos upgrade de memória”.

Como uma solução temporária, tente livrar a memória executando estas etapas:

  1. Desabilite a ameaça-detecção.

  2. Desabilite a compressão svc.

  3. Recarregue o ASA.

Erro: “O direcionador do cliente VPN encontrou um erro”

Este é um Mensagem de Erro obtido na máquina cliente ao tentar conectar ao AnyConnect.

Solução

A fim resolver este erro, termine este procedimento para ajustar manualmente o agente de AnyConnect VPN a interativo:

  1. Clicar com o botão direito no > serviços do Meu Computador > Manage > Services And Applications > selecionam o agente de Cisco AnyConnect VPN.

  2. Clicar com o botão direito propriedades, a seguir entre e seleto permita que o serviço interaja com o desktop.

    Isto ajusta o tipo valor DWORD do registro a 110 (o padrão é 010) para o HKEY_LOCAL_MACHINE \ SISTEMA \ CurrentControlSet \ serviços \ o vpnagent.

    Nota: Se esta deve ser usada, a seguir a preferência seria usar o .MST transforma nesta instância. Isto é porque ajustar isto que usa manualmente os seguintes métodos exige que este esteja ajustado após o cada instala/processo de upgrade. Consequentemente, a necessidade de identificar o aplicativo que está causando este.

    Quando a distribuição e o Remote Access Service (RRAS) são permitidos no PC Windows, AnyConnect falha com o o cliente VPN que o direcionador encontrou um erro. mensagem de erro. A fim resolver esta edição, certifique-se de que a distribuição e o RRAS estão desabilitados antes de começar AnyConnect. Refira a identificação de bug Cisco CSCsm54689 (clientes registrados somente) para mais informação.

Erro: “Incapaz de processar a resposta do xxx.xxx.xxx.xxx”

Os clientes de AnyConnect não estão conectando a Cisco ASA. O erro no indicador de AnyConnect é “incapaz de processar a resposta do xxx.xxx.xxx.xxx”.

Solução

A fim resolver este erro, tente estas ações alternativas:

  • Remova o webvpn do ASA e re-permita-o.

  • Mude o número de porta a 444 dos 443 existentes e re-permita-o em 443 outra vez.

Para obter mais informações sobre de permitir o webvpn e de mudar a porta para o webvpn, refira esta solução.

Erro: O “início de uma sessão negou, mecanismo da conexão não autorizada, contacta seu administrador”

Os clientes de AnyConnect não estão conectando a Cisco ASA. O erro no indicador de AnyConnect é “início de uma sessão negado, mecanismo da conexão não autorizada, contacta seu administrador”.

Solução

Este Mensagem de Erro ocorre na maior parte devido aos problemas de configuração que são impróprios ou a uma configuração incompleta. Verifique a configuração e certifique-se que é como necessário resolver a edição.

Erro: De “pacote Anyconnect não disponível ou corrompido. Contacte seu administrador de sistema”

Este erro ocorre quando você tenta lançar o software de AnyConnect de um cliente de MAC para conectar a um ASA.

Solução

A fim resolver isto, termine estas etapas:

  1. Transfira arquivos pela rede o pacote MAC AnyConnect ao flash do ASA. Para obter mais informações sobre disto, refira transferir arquivos pela rede a imagem de AnyConnect.

  2. Altere a configuração do webvpn para especificar o pacote de AnyConnect que será usado.

    webvpn
     svc image disk0:/anyconnect-macosx-i386-2.3.2016-k9.pkg 2
     svc image disk0:/anyconnect-macosx-powerpc-2.3.2016-k9.pkg 3

    O comando da imagem svc é substituído pelo comando da imagem do anyconnect na versão ASA 8.4(1) e mais atrasado como mostrado aqui:

    hostname(config)#webvpn
    
    hostname(config-webvpn)#anyconnect image disk0:/
    anyconnect-win-3.0.0527-k9.pkg 1
    
    hostname(config-webvpn)#anyconnect image disk0:/
    anyconnect-macosx-i386-3.0.0414-k9.pkg 2

Erro: “O pacote de AnyConnect no gateway seguro não podia ser encontrado”

Este erro é causado na máquina do linux do usuário ao tentar conectar ao ASA lançando AnyConnect. O erro completo olha como este:

“O pacote de AnyConnect no gateway seguro não podia ser encontrado. Você pode experimentar questões de conectividade de rede. Tente por favor conectar outra vez.”

Solução

A fim resolver este Mensagem de Erro, verifique se o operating system (OS) que está sendo usado na máquina cliente está apoiado pelo cliente de AnyConnect. Para obter informações completas sobre do software suportado, refira a seção dos requisitos do sistema nos Release Note de AnyConnect.

Se o OS é apoiado, a seguir verifique se o pacote de AnyConnect é especificado na configuração WebVPN ou não. Veja a seção não disponível ou corrompida do pacote de Anyconnect deste documento para mais informação.

Erro: O “VPN seguro através do desktop remoto não é apoiado”

Os usuários são incapazes de executar um acesso remoto do desktop. O VPN seguro através do desktop remoto não é Mensagem de Erro apoiado aparece.

Solução

Esta edição é devido aos estes o Bug da Cisco ID: CSCsu22088 (clientes registrados somente) e CSCso42825 (clientes registrados somente). Promover o cliente VPN de AnyConnect pode resolver a edição. Refira estes erros para mais informação.

Erro: “O certificado de servidor recebido ou sua corrente não seguem com os FIP. Uma conexão de VPN não será estabelecida”

Ao tentar ao VPN ao ASA 5505, o o certificado de servidor recebido ou sua corrente não seguem com os FIP. Uma conexão de VPN não será Mensagem de Erro estabelecido ocorre.

Solução

A fim resolver este erro, você precisa de desabilitar os FIP no arquivo da política local de AnyConnect. Este arquivo pode geralmente ser encontrado no cliente VPN de C:\ProgramData\Cisco\Cisco AnyConnect \ AnyConnectLocalPolicy.xml. Se este arquivo não é encontrado neste trajeto, a seguir encontre o arquivo em um diretório diferente que tem o trajeto tal como usuários \ dados do aplicativo \ Cisco AnyConnectVPNClient de C:\Documents and Settings\All \ AnyConnectLocalPolicy.xml. Uma vez que você encontra o arquivo do xml, faça mudanças a este arquivo como mostrado aqui:

Mude a frase:

<FipsMode>true</FipsMode>

A:

<FipsMode>false</FipsMode>

Então, reinicie o computador. Os usuários precisarão de ter permissões administrativas alterar este arquivo.

Erro: Da “falha validação certificada”

Os usuários são incapazes de lançar o AnyConnect e de receber o erro da falha da validação certificada.

Solução

Os trabalhos do certificado de autenticação diferentemente com AnyConnect compararam ao cliente de IPSec. Para que o certificado de autenticação trabalhe, você precisa de importar o certificado de cliente a seu navegador e de mudar o perfil de conexão para usar o certificado de autenticação. Você igualmente precisa de permitir este comando em seu ASA permitir que os certificados de cliente SSL sejam usados na interface externa:

porta de saída 443 da relação do certificado de autenticação SSL

Para obter mais informações sobre deste comando, refira o certificado de autenticação SSL.

Erro: “O serviço do agente VPN encontrou um problema e precisa-o de fechar-se. Nós somos pesarosos para a inconveniência”

Quando AnyConnect 2.4.0202 é instalado em Windows XP PC, para em atualizar arquivos da localização e um Mensagem de Erro mostra que o vpnagent.exe falha.

Solução

Este comportamento é a identificação de bug Cisco entrada CSCsq49102 (clientes registrados somente). A ação alternativa sugerida é desabilitar o cliente de Citrix.

Erro: “Este pacote da instalação não podia ser aberto. Verifique que o pacote existe”

Quando AnyConnect é transferido, este Mensagem de Erro está recebido:

“Contacte seu administrador de sistema. O instalador falhado com o seguinte erro: Este pacote da instalação não podia ser aberto. Verifique que o pacote existe e que você pode o alcançar, ou contacte o vendedor do aplicativo para verificar que este é um pacote válido do instalador de Windows.”

Solução

Conclua estes passos para corrigir o problema:

  1. Remova todo o software anti-vírus.

  2. Desabilite o Windows Firewall.

  3. Se nem as ajudas de etapa 1 ou 2, então formatam a máquina e então instalam-na.

  4. Se o problema ainda persiste, abra um caso de TAC (clientes registrados somente).

Erro: Do “a aplicação erro transforma. Verifique que especificados transformam trajetos são válidos.”

Este Mensagem de Erro é recebido durante a auto-transferência de AnyConnect do ASA:

“Contacte seu administrador de sistema. O instalador falhado com o seguinte erro: A aplicação do erro transforma. Verifique que especificados transformam trajetos são válidos.”

Este é o Mensagem de Erro recebido ao conectar com o AnyConnect para o MacOS:

“O pacote de AnyConnect no gateway seguro não podia ser encontrado. Você pode experimentar questões de conectividade de rede. Tente por favor conectar outra vez.”

Solução

Termine uma destas ações alternativas a fim resolver esta edição:

  1. A causa de raiz deste erro pôde ser devido a um arquivo corrompido da tradução MST (por exemplo, importado). Execute estas etapas para fixar isto:

    1. Remova a tabela de tradução MST.

    2. Configurar a imagem de AnyConnect para o MacOS no ASA.

  2. Do ASDM, siga da “o acesso rede (cliente)” > de “o costume AnyConnect” > “instale” o trajeto e suprimam do arquivo de pacote de AnyConnect. Certifique-se que o pacote permanece da “no acesso rede (cliente)” > “avançou” > “SSL VPN” > do “ajuste cliente”.

Se nenhumas destas ações alternativas resolvem a edição, contacte o Suporte técnico de Cisco.

Erro: “O direcionador do cliente VPN encontrou um erro”

Este erro é recebido:

O direcionador do cliente VPN encontrou um erro ao conectar através do cliente de Cisco AnyConnect.

Solução

Esta edição pode ser resolved quando você desinstala o cliente de AnyConnect, a seguir remove o software anti-vírus. Após isto, reinstale o cliente de AnyConnect. Se esta definição não trabalha, a seguir reformat o PC a fim fixar esta edição.

Erro: “Um VPN reconecta conduzido ao ajuste de configuração diferente. O ajuste da rede VPN re-está sendo inicializado. Os aplicativos que utilizam a rede privada podem precisar de ser restaurado.”

Este erro é recebido ao tentar lançar AnyConnect:

“Um VPN reconecta conduzido ao ajuste de configuração diferente. O ajuste da rede VPN re-está sendo inicializado. Os aplicativos que utilizam a rede privada podem precisar de ser reiniciado.

Solução

A fim resolver este erro, use isto:

group-policy <Name> attributes
			webvpn
				svc mtu 1200

O comando mtu svc é substituído pelo comando mtu do anyconnect na versão ASA 8.4(1) e mais atrasado como mostrado aqui:

hostname(config)#group-policy <Name> attributes

hostname(config-group-policy)#webvpn

hostname(config-group-webvpn)#anyconnect mtu 500

Erro de AnyConnect quando início de uma sessão

Problema:

O AnyConnect recebe este erro ao conectar ao cliente:

The VPN connection is not allowed via a local proxy. This can be changed 
through AnyConnect profile settings.

Solução

A edição pode ser resolvida fazendo estas mudanças ao perfil de AnyConnect:

Adicionar esta linha ao perfil de AnyConnect:

<ProxySettings>IgnoreProxy</ProxySettings><AllowLocalProxyConnections>
false</AllowLocalProxyConnections>

O ajustes do proxy IE não é restaurado depois que disconexão de AnyConnect em Windows 7

Problema:

Em Windows 7, se o ajustes do proxy IE é configurado para automaticamente detecte ajustes e AnyConnect abaixa um ajustes do proxy novo, o ajustes do proxy IE não é restaurado de volta a automaticamente detectam ajustes após o usuário termina a sessão de AnyConnect. Isto causa edições LAN para os usuários que precisam seu ajustes do proxy configurado para automaticamente detectam ajustes.

Solução

Este comportamento é a identificação de bug Cisco entrada CSCtj51376 (clientes registrados somente). A ação alternativa sugerida é promover ao 3.0 de AnyConnect.

Erro: Os fundamentos de AnyConnect não podem ser permitidos até que todas estas sessões estejam fechadas.

Este Mensagem de Erro é recebido em Cisco ASDM ao tentar permitir os fundamentos de AnyConnect licencia:

Há atualmente 2 sessões de VPN dos sem clientes SSL em andamento. Os fundamentos de AnyConnect não podem ser permitidos até que todas estas sessões estejam fechadas.

Solução

Este é o comportamento normal do ASA. Os fundamentos de AnyConnect são um cliente VPN separadamente licenciado SSL. É configurado inteiramente no ASA e fornece a capacidade completa de AnyConnect, estas exceções:

  • Nenhum CSD (que inclui HostScan/líquido de limpeza do cofre-forte/esconderijo)

  • Nenhuns sem clientes SSL VPN

  • Apoio opcional do Windows mobile

Esta licença não pode ser usada ao mesmo tempo que a licença compartilhada do prêmio SSL VPN. Quando você precisa de usar uma licença, você precisa de desabilitar a outro.

Erro: A aba da conexão na opção de internet do internet explorer esconde após a obtenção conectada ao cliente de AnyConnect.

A aba da conexão na opção de internet do internet explorer esconde após a obtenção conectada ao cliente de AnyConnect.

Solução

Isto é devido à característica do lockdown do msie-proxy. Permitir esta característica esconde a aba das conexões no Microsoft Internet explorer para a duração de uma sessão de VPN de AnyConnect. Desabilitar a característica sae do indicador da aba das conexões inalterado.

Erro: Poucos usuários que obtêm o início de uma sessão falharam o Mensagem de Erro quando outro podem conectar com sucesso com AnyConnect VPN

Alguns usuários recebem o Mensagem de Erro falhado início de uma sessão quando outro podem conectar com sucesso com o AnyConnect VPN.

Solução

Esta edição pode ser resolvida certificando-se não exige a caixa de seleção da PRE-autenticação é verificada para ver se há os usuários.

Erro: O certificado que você está vendo não combina com o nome do local você está tentando ver.

Durante a atualização do perfil de AnyConnect, um erro é mostrado que diz que o certificado é inválido. Isto ocorre com Windows somente e na fase da atualização do perfil. O Mensagem de Erro é mostrado aqui:

O certificado que você está vendo não combina com o nome do local você está tentando ver.

Solução

Isto pode ser resolvido alterando a lista de servidor do perfil de AnyConnect para usar o FQDN do certificado.

Esta é uma amostra do perfil do xml:

<ServerList>

 <HostEntry>

    <HostName>vpn1.ccsd.net</HostName> 

 </HostEntry>

</ServerList>

Nota: Se há uma entrada existente para o endereço IP público do server tal como o <HostAddress>, a seguir remova-o e retenha-o somente o FQDN do server (por exemplo, <hostname> mas não < endereço de host >).

Não pode lançar AnyConnect do cofre-forte CSD de uma máquina de Windows 7

Quando o AnyConnect é lançado do cofre-forte CSD, não trabalha. Isto é tentado em máquinas de Windows 7.

Solução

Atualmente, isto não é possível porque não é apoiado.

Perfil de AnyConnect que não obtém replicated ao apoio após o Failover

O cliente VPN do 3.0 de AnyConnect com trabalhos do software ASA 8.4.1 muito bem. Contudo, após o Failover, não há nenhuma replicação para a configuração relacionada do perfil de AnyConnect. Como isto é resolvido?

Solução

Este problema foi observado e registrado sob a identificação de bug Cisco CSCtn71662 (clientes registrados somente). A solução temporária é copiar manualmente os arquivos à unidade em standby.

Problema: Impactos do cliente de AnyConnect se o internet explorer vai off line

Quando isto ocorre, o log de eventos de AnyConnect contém as entradas similares a estes:

Description : Function:
CAdapterNetworkStateIfc::SetConnectedStateToConnected
File: .\AdapterNetworkStateIfc.cpp
Line: 147
Invoked Function: InternetSetOption
Return Code: 12010 (0x00002EEA)
Description: The length is incorrect for the option type

Description : Function: CTransportWinHttp::InitTransport
File: .\CTransportWinHttp.cpp
Line: 252
Invoked Function: CConnectedStateIfc::SetConnectedStateToConnected
Return Code: -25362420 (0xFE7D000C)
Description: CADAPTERNETWORKSTATEIFC_ERROR_SET_OPTION

Solução

Este comportamento é observado e registrado sob a identificação de bug Cisco CSCtx28970 (clientes registrados somente). A fim resolver isto, pare o aplicativo de AnyConnect e relance-o. As entradas de conexão reaparecem após o relançamento.

Mensagem de Erro: TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER

O cliente de AnyConnect não conecta e o incapaz de estabelecer uma mensagem de erro de conexão é recebido. No log de eventos de AnyConnect, o erro TLSPROTOCOL_ERROR_INSUFFICIENT_BUFFER é encontrado.

Solução

Isto ocorre quando o final do cabeçalho é configurado para o split-tunneling com uma lista de túneis em divisão muito grande (aproximadamente entradas do 180-200) e uns ou vários outros atributos do cliente são configurados na grupo-política, tal como o dns-server.

Para resolver esse problema, siga estas etapas:

  1. Reduza o número de entradas na lista de túneis em divisão.

  2. Use esta configuração a fim desabilitar DTL:

    group-policy groupName attributes
      webvpn
        svc dtls none

Para mais informação, refira a identificação de bug Cisco CSCtc41770 (clientes registrados somente).

Mensagem de Erro: A “tentativa de conexão falhou devido à entrada de host inválida”

A tentativa de conexão falhou devido à entrada de host que inválida o Mensagem de Erro é recebido ao autenticar AnyConnect usando um certificado.

Solução

A fim resolver esta edição, tente qualquer uma destas soluções possíveis:

  • Promova o AnyConnect à versão 3.0.

  • Desabilite o Cisco Secure Desktop em seu computador.

Para mais informação, refira a identificação de bug Cisco CSCti73316 (clientes registrados somente).

Erro: “Assegure-se de que seus certificados de servidor possam passar o modo restrito se você configura sempre-no VPN”

Quando permitir Sempre-na característica em AnyConnect, a segurança seus certificados de servidor pode passar o modo restrito se você configura sempre-na mensagem de erro de VPN está recebido.

Solução

Este Mensagem de Erro implica que se você quer usar Sempre-na característica, você precisa um válido separa o certificado configurado no final do cabeçalho. Sem um certificado de servidor válido, esta característica não trabalhará. O modo restrito CERT é uma opção que você se ajuste no arquivo da política local de AnyConnect a fim assegurar que as conexões estão usando um certificado válido. Se você permite esta opção no arquivo de política e a conecta com um certificado falso, a conexão falhará.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 100597